电力系统信息安全研究综述(下)
时间:2016-03-28 11:32 文章来源:http://www.lunwenbuluo.com 作者:李文武,游文霞,王先 点击次数:
2.4互联电力信息系统安全
互联电力信息系统是由各种复杂异构的电力信息系统组成的大规模、广域分布和分级递阶的大系统,影响其安全的因素是多维的。对互联电力信息系统安全研究主要集中在安全体系设计、容入侵及网络安全设计方面。
安全体系设计要解决三个问题:如何根据安全策略获得安全需求、如何将安全需求映射为安全体系、明确安全体系满足安全需求的程度。文献分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、“发现修改”方法、预防性安全设计方法等现有安全设计方法应用在互联电力信息系统时的特点和不足,并总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析方法的可借鉴之处。电力信息系统比电力物理系统面临更加严峻的风险,风险管理作为一个能用于系统开发生命周期的安全设计方法,文献提出电力信息安全风险评估要划分安全域,但传统的风险管理方法不能直接应用到电力信息系统安全体系设计。文献则提出了一种用于电力信息系统建模和安全体系定量评估的系统化方法,其中安全体系设计语言用于建立电力信息系统的抽象模型,风险自动分析算法和相对安全度定量评价指标用于减少安全体系设计的主观性。文献侧重各类安全设备灵活配置和协调,提出了基于简单网络管理协议(SNMP)的电力数据网络柔性安全体系。
传统的信息安全防护技术重在防范,而没有考虑到电力互联信息系统信息安全破坏后的生存性问题,使用容侵技术可以解决这一问题。文献提出一种使用冗余和多样性的容侵体系结构来检测和屏蔽已知和未知的攻击,并能对受损的服务器自行恢复,有效地加强了电力互联信息系统网络的安全性。文献提出的基于容侵技术的电力企业网络安全体系模型则兼顾了网络服务性能和网络安全两方面的因素,利用成熟的误用检测技术和防火墙技术防御已知的入侵行为,对于未知的入侵行为采用异常检测技术进行评估、追踪和分析。文献则结合某电网公司信息系统实际情况,提出一个基于测控结合的三层结构容入侵模型,在本地、子网和企业网三个层次分别监测控制简单、联合和复杂的网络攻击。该模型同时为了保障容入侵系统本身的安全,提出利用心跳信息监控各组成部件,并利用表决器诊断技术判断系统是否正常。
计算机网络是互联电力信息系统的基础平台,文献设计了不同的网络安全方案,综合利用防火墙、入侵检测系统、物理隔离装置等。文献探讨了入侵诱骗的网络安全方法,深化了对电力系统信息网络攻防的认识。为建立电力行业的安全保障基础体系,文献设计了电力PKI。文献对某电厂二次网络系统采用链式防护结构,构成电厂完善的信息安全防护体系。
由于互联电力信息系统是系统的系统(SystemofSystem),因此互联电力信息系统安全研究较多,大多从系统工程的角度出发,而不侧重具体的安全技术,但尚未有成熟的系统安全分析方法。
2.5安全管理
信息安全的实践表明“三分技术、七分管理”,可见管理的重要性。国内外许多部门或组织为保障电力系统信息安全,发布了相关标准、规定、规程等。上世纪九十年代原电力工业部和国家保密局就发布了《电力工业国家秘密及其密级具体范围的规定》。国家经贸委和电监会本世纪初也分别发布了《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《电力二次系统安全防护规定》,其核心是安全分区、网络专用、横向隔离、纵向认证,即电力信息系统划分为生产控制大区和管理信息大区,电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离,在生产控制大区与广域网的纵向交接处设置电力专用纵向加密认证装置或者加密认证网关及相应设施。作为配套,电监会还给出了包括各级调度中心、变电站、发电厂等配套的六个二次系统安全防护方案,各电力企业也制定了相应的信息安全规程。
国际电工委员会的IEC27001标准规定了信息安全管理体系(ISMS)要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为第三方认证的标准。而与之配套的IEC17799标准提供了一套综合的、由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别、39个控制目标和133项控制措施。IEC27001和1779标准已在我国电网企业开始试点应用。另外,国际电工委员会第57技术委员会(IECTC57)第15工作组(WG15)正在针对现有的变电站通信标准,拟定包含TCP/IP协议,制造报文规范协议(MMS)和对等通信协议的安全规范IEC62351。国际大电网会议(CIGRE)2003至2006年专门成立进行电力信息系统和内网安全研究的D2/B3/C2-01工作组,发布技术规范,并应用于某电力公司CIGRE2006年至2009年又成立D2.22工作组,并发布了适用于电力公司信息安全框架、风险评估和安全技术的规范,将基线控制、逻辑图等引入电力公司信息安全管理中。
NERC、ISA、NIST、DOE等组织也开始进行电力信息安全标准的制定工作。国内外高度重视标准、规程等的制定,同时也关注其实施,使管理措施真正落到实处。
- 论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
- 论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
-
- 论文投稿客服QQ:
2863358778、
2316118108
-
- 论文投稿电话:15380085870
-
- 论文投稿邮箱:lunwenbuluo@126.com